7.1. С целью установления и применения методологии оценивания рисков нарушения ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ организации БС РФ рекомендуется:
- установить способы учета влияния реализованного организацией БС РФ уровня зрелости выполнения процессов СОИБ при проведении оценки рисков нарушения ИБ;
- оценивать риски нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ.
7.2. Организации БС РФ при установлении способов учета влияния реализованного уровня зрелости выполнения процессов СОИБ при проведении оценки рисков нарушения ИБ рекомендуется учитывать уровень зрелости выполнения процессов СОИБ в обратной зависимости к степени возможности реализации угроз ИБ (далее - СВР угроз ИБ), оцениваемой в соответствии с методологией оценки рисков нарушения ИБ, установленной РС БР ИББС-2.2.
7.3. При реализации учета влияния реализованного уровня зрелости выполнения процессов СОИБ на риски нарушения ИБ рекомендуется:
- оценить актуальность угроз нарушения ИБ, установленных в модели угроз организации БС РФ;
- оценить СВР угроз ИБ на основе оценки уровня зрелости выполнения процессов СОИБ, реализуемых для защиты от конкретных угроз ИБ.
7.4. Для оценки актуальности угроз нарушения ИБ рекомендуется использовать следующую качественную шкалу:
- минимальная;
- средняя;
- высокая;
- критическая.
7.5. Оценку СВР угроз ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ рекомендуется проводить с использованием методик количественных оценок, например, следующим образом:
Таблица 1. Способ оценивания СВР угроз ИБ
Актуальность угроз нарушения ИБ | |||||
Минимальная | Средняя | Высокая | Критическая | ||
Уровень | 5-й уровень | 0,01 | 0,02 | 0,03 | 0,05 |
зрелости | 4-й уровень | 0,05 | 0,1 | 0,15 | 0,2 |
выполнения | 3-й уровень | 0,1 | 0,15 | 0,25 | 0,3 |
процесса | 2-й уровень | 0,15 | 0,25 | 0,35 | 0,45 |
СОИБ (L) | 1-й уровень | 0,2 | 0,45 | 0,75 | 0,9 |
0-й уровень | 0,25 | 0,55 | 0,95 | 1 |
7.6. Оценивать риски рекомендуется в количественной (денежной) форме для всех защищаемых информационных активов с учетом полученных значений СВР угроз ИБ по методикам, применяемым в организации БС РФ.
7.7. Потребность организации БС РФ в финансовых средствах для обеспечения процесса СОИБ рекомендуется определять, проводя анализ агрегированных значений предполагаемых величин возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в результате потенциальной реализации рисков нарушения ИБ (рисковых событий). При этом агрегирование указанных значений рекомендуется осуществлять по каждому из процессов СОИБ.
7.8. Рассчитанный объем финансовых средств для обеспечения процесса СОИБ рекомендуется распределять между процессами СМИБ, полнота и качество выполнения которых влияют на уровень зрелости выполнения управляемого процесса СОИБ, с использованием следующего коэффициента:
, где - максимальный уровень полноты и качества выполнения процессов СМИБ.